【文章內(nèi)容簡(jiǎn)介】 除對(duì)用戶終端的隔離。 ? 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的 ACL、 VLAN等。 安全客戶端 H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí) 施的主體，其主要功能包括： ? 提供 、 Portal等多種認(rèn)證方式，可以與 交換機(jī)、 BAS網(wǎng)關(guān) 等設(shè)備配合實(shí)現(xiàn)接杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 8 頁(yè) , 共 20 頁(yè) 入層、匯聚層的端點(diǎn)準(zhǔn)入控制。 ? 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁、共享目錄、已安裝的軟件、已啟動(dòng)的服務(wù)等用戶終端信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒 軟件產(chǎn)品 客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到 EAD安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。 ? 安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí) 行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。 ? 實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。 3 EAD 與 Microsoft SMS 聯(lián)動(dòng) 推薦 EAD 與微軟 SMS 聯(lián)動(dòng)介紹 EAD與 SMS聯(lián)動(dòng) 解決 方案 可以更好的發(fā)揮兩個(gè)方案的優(yōu)勢(shì)，微軟 SMS實(shí)現(xiàn)對(duì) 終端 用戶的計(jì)算機(jī)進(jìn)行 漏洞檢測(cè)、補(bǔ)丁檢測(cè)及升級(jí)、桌面資產(chǎn)管理、軟件分發(fā)等功能； H3C EAD方案實(shí)現(xiàn)安全入網(wǎng)認(rèn)證（有線、無(wú)線以及遠(yuǎn)程 VPN接入）、防代理、 多元素綁定認(rèn)證（ IP、MAC、端口等）、強(qiáng)制安裝和運(yùn)行 SMS客戶端 。 iNode客戶端通過調(diào)用 微軟 SMS提供的 API接口，成功實(shí)現(xiàn)認(rèn)證時(shí) 補(bǔ)丁 自動(dòng)檢測(cè)和 升級(jí)， 融合了 EAD與 SMS的優(yōu)勢(shì)，為客戶提供更完善的網(wǎng)絡(luò)安全管理解決方案， 其部署圖如下： 圖 2 EAD與 SMS聯(lián)動(dòng) 解決 方案 系統(tǒng)結(jié)構(gòu)圖 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 9 頁(yè) , 共 20 頁(yè) EAD 與 SMS 聯(lián)動(dòng)技術(shù)優(yōu)勢(shì) EAD解決方案與 SMS聯(lián)動(dòng) 有許多 技術(shù) 優(yōu)勢(shì)： 1） 聯(lián)動(dòng)的松散耦合性：充分利用微軟成熟的 桌面 管理工具，由 SMS實(shí)現(xiàn) 各種 Windows環(huán)境下用戶 的桌面管理 需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等；由 EAD實(shí)現(xiàn)有線、無(wú)線、遠(yuǎn)程 VPN接入認(rèn)證、用戶管理、多元素綁定認(rèn)證，并且聯(lián)動(dòng) SMS實(shí)現(xiàn)認(rèn)證時(shí)對(duì)用戶的補(bǔ)丁自動(dòng)檢測(cè)和升級(jí) ； 2） 方案部署便捷，由域進(jìn)行 SMS、 iNode客戶端的分發(fā)安裝， iNode客戶端提供定制安裝版本，可以根據(jù)用戶需要進(jìn)行定制安裝 ； 同時(shí)由網(wǎng)絡(luò)認(rèn)證訪問功能，限制所有接入網(wǎng)絡(luò)的用戶均需安裝 iNode客戶端和 SMS客戶端； 3） 更高的安全性，由于 EAD安全認(rèn)證限制了所有接入網(wǎng)絡(luò)的用戶必須 安裝和運(yùn)行iNode客戶端以及 SMS客戶端，這樣 EAD安全策略和 SMS安全 策略均可以得到全面的執(zhí)行。不符合安全策略要求的用戶，只能訪問網(wǎng)絡(luò)隔離區(qū)資源，最大程度的提高了網(wǎng)絡(luò)安全性； 4） 補(bǔ)丁更新的即時(shí)性：用戶 在初始連接網(wǎng)絡(luò)時(shí)就會(huì)被要求進(jìn)行補(bǔ)丁檢查，終端 機(jī)器的補(bǔ)丁狀態(tài)檢查不合格后馬上轉(zhuǎn)入補(bǔ)丁自動(dòng)更新過程； EAD解決方案的定時(shí)重認(rèn)證功能結(jié)合微軟操作系統(tǒng)的 Windows Automatic Updates駐留服務(wù)，可以保證用戶終端的補(bǔ)丁得到實(shí)時(shí)更新； 5） 與 SMS桌面 資產(chǎn) 管理功能相結(jié)合 ， EAD在線用戶安全檢測(cè)功能，可以幫助管理員輕松核對(duì)所有上網(wǎng)用戶的資產(chǎn)是否正確 ； Microsoft SMS 功能 概述 應(yīng)用程序配置 ? 詳細(xì)的部署規(guī)劃 ： 詳細(xì)的應(yīng)用程序部署規(guī)劃。 SMS 20xx提供了 詳細(xì)的報(bào)告，使應(yīng)用程序配置過程變得輕松。對(duì)于一個(gè)計(jì)劃好的配置，可以很輕松的獲取目標(biāo)群組當(dāng)前的硬件基礎(chǔ)，現(xiàn)有的應(yīng)用程序，版本信息，以及系統(tǒng)當(dāng)前服務(wù)包和熱修復(fù)的級(jí)別。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 10 頁(yè) , 共 20 頁(yè) ? 豐富的分發(fā)對(duì)象 ： 使用包括網(wǎng)絡(luò)和硬件配置 、 活動(dòng)目錄 、 組織單元以及群組成員資格和軟件安裝狀況在內(nèi)的大量多種手段，向特定的計(jì)算機(jī)和用戶部署軟件分發(fā)以及其它管理任務(wù)。 ? 站點(diǎn)服務(wù)器和分發(fā)點(diǎn)之間的增量分發(fā) ： 當(dāng)對(duì)先前配置的軟件數(shù)據(jù)包源做出改動(dòng)時(shí)，僅僅是源的改動(dòng)內(nèi)容在 SMS 20xx站點(diǎn)服務(wù)器和分發(fā)點(diǎn)之間傳播，而不是整個(gè)的應(yīng)用程序映射。 ? 提高權(quán)限的 Windows安裝服務(wù) ： 鑒于 SMS 20xx支持 Windows安裝服務(wù) (.msi)，在一個(gè)組件安裝過程中，可以在關(guān)聯(lián)的帳戶間切換，允許在 “向下鎖定 ”的系統(tǒng)上安裝自我復(fù)原的應(yīng)用程序。 資產(chǎn)管理 ? 應(yīng)用系統(tǒng)使用情況監(jiān)控 ： 通過監(jiān)控可以生成使用情況的概要和詳細(xì)報(bào)告。報(bào)告詳細(xì)列出了用戶使用了哪些應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)使用了多久，以及用戶使用哪個(gè)管理系統(tǒng)。使用情況可由用戶或計(jì)算機(jī)跟蹤，而 且，可以圍繞并發(fā)的使用情況數(shù)據(jù)生成報(bào)告。 ? 詳細(xì)的 軟件、 硬件資產(chǎn)目錄 ： Windows管理工具（ WMI）增強(qiáng)功能，實(shí)現(xiàn)在資產(chǎn)目錄掃描過程中客戶端的性能提升，并提供一套更豐富的資產(chǎn)目錄數(shù)據(jù)。 ? Web報(bào)表 ： 包括預(yù)建立的 120多份報(bào)告，涵蓋硬件和軟件資產(chǎn)目錄以及計(jì)算機(jī)狀態(tài)和軟件部署進(jìn)展。 安全補(bǔ)丁管理 ? 漏洞識(shí)別 及補(bǔ)丁升級(jí) ： 標(biāo)準(zhǔn)的 Microsoft安全工具，使您能夠?yàn)橄到y(tǒng)的應(yīng)用系統(tǒng)補(bǔ)丁和漏洞建立目錄清單 ，還可自動(dòng)升級(jí)系統(tǒng)補(bǔ)?。? ? 漏洞評(píng)估以及緩解報(bào)告 ： 完成識(shí)別遺漏的補(bǔ)丁之后，這些單獨(dú)掃描結(jié)果被發(fā)送到中心數(shù)據(jù)庫(kù)，生成報(bào)告和 確定目標(biāo)。遺漏的補(bǔ)丁部署完后，數(shù)據(jù)就可以隨意地被實(shí)時(shí)更新。 Windows 管理服務(wù)集成 ? 活動(dòng)目錄探索 ： SMS 20xx可以自動(dòng)探索用戶和系統(tǒng)的活動(dòng)目錄屬性，包括組織單元容器和組級(jí)成員。然后在這些活動(dòng)目錄屬性的基礎(chǔ)上可以確定軟件包目標(biāo)。 ? 基于活動(dòng)目錄的站點(diǎn)邊界 ： 站點(diǎn)邊界現(xiàn)在可以基于活動(dòng)目錄站點(diǎn)名稱，而不是基于網(wǎng)際協(xié)議（ IP）子網(wǎng)。 ? 高級(jí)安全模式 ： 內(nèi)置計(jì)算機(jī)和本地系統(tǒng)帳號(hào)可用于服務(wù)器的所有功能（譬如數(shù)杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 11 頁(yè) , 共 20 頁(yè) 據(jù)庫(kù)訪問），這顯著地簡(jiǎn)化了在 SMS 20xx的帳號(hào)和密碼管理，同時(shí)，通過不用創(chuàng)建額外的高權(quán)限帳號(hào)使企業(yè)更加安全 。 ? 改進(jìn)的狀態(tài)工具 ： 狀態(tài)數(shù)據(jù)提供了有關(guān) SMS 20xx在服務(wù)器和客戶端兩方面處理當(dāng)前狀況的實(shí)時(shí)信息 4 EAD 解決方案組網(wǎng) 部署 通過與不同網(wǎng)絡(luò)接入設(shè)備的聯(lián)動(dòng)， EAD解決方案可在多種 應(yīng)用場(chǎng)景中實(shí)現(xiàn)用戶終端安全準(zhǔn)入控制，滿足不同網(wǎng)絡(luò)環(huán)境下，端點(diǎn)安全準(zhǔn)入控制的需要。 新建網(wǎng)絡(luò) 部署 接入層 準(zhǔn)入控制 將 接入層 設(shè)備 作為安全準(zhǔn)入控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查， 強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查， 防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)， 降低病毒、蠕蟲 等安全威脅在企業(yè)擴(kuò)散 的風(fēng)險(xiǎn)。 1. 方案組網(wǎng) 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請(qǐng)勿擴(kuò)散 第 12 頁(yè) , 共 20 頁(yè) 圖 3 接入層 EAD解決方案組網(wǎng)應(yīng)用 2. 組網(wǎng)設(shè)備 支持 H3C S3000以上系列接入層交換機(jī) 配合組網(wǎng) ， 交換機(jī)型號(hào) 主要包括： ? S3050C， S3026E/C/G/T； ? 3100EI， 5100EI； ? S3528P/G， S3526E， S3552G/P/F； ? S3600系列 ； 3. 方案說明 ? 用戶終端必須安裝 iNode客戶端，在上網(wǎng)前首先要進(jìn)行 ，否則 將 不能接入網(wǎng)絡(luò)或者只能訪問隔離區(qū)的資源 。其中，隔離區(qū)是指在 S30/36系列交換機(jī)中配置的一組 ACL，一般包括 EAD安全代理 服務(wù)器 、補(bǔ)丁服務(wù)器、防 病毒服務(wù)器、 DNS、 DHCP等服務(wù)器的 IP地址。 ? 在 接入 交換機(jī)（ S30/35/36系列 交換機(jī)）中 要 部署 ，強(qiáng)制進(jìn)行基于用戶的 和動(dòng)態(tài) ACL、 VLAN控制 。 ? CAMS服務(wù)器 中配置用戶的服務(wù)策略、接入策略、安全策略，用戶進(jìn)行 認(rèn)證時(shí)， 由 CAMS服務(wù)器 驗(yàn)證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評(píng)估策略（如檢查病毒庫(kù)版本、補(bǔ)丁安裝情況等），完成身份和安全評(píng)估后，由 CAMS服務(wù)器 確定用戶的 ACL、 VLAN以及病毒監(jiān)控策略等。 ? EAD安全代理服務(wù)器 必 須 部署于隔離區(qū)，可以與 CAMS自助服務(wù)器共用一臺(tái)主機(jī)。